問題

新聯盟使用者無法登錄 Microsoft 雲端服務,例如 Office 365、Microsoft Azure 或 Microsoft Intune。 使用者遇到下列其中一種症狀:

  • 在 login.microsoftonline.com 網頁上輸入使用者識別碼之後,使用者識別碼無法透過家用領域探索識別為聯盟使用者,而且使用者不會自動重新導向以透過單一登入 (SSO) 進行登錄。

  • AD FS (Active Directory Federation Services 的驗證) 失敗,而且使用者會收到下列表單式驗證錯誤訊息:

    使用者名稱或密碼不正確

    替代文字
  • 使用者會收到下列錯誤訊息 login.microsoftonline.com 網頁上:

    很抱歉,我們無法將您簽下

原因

這些症狀可能是因為啟用 SSO 的使用者識別碼試驗不佳而發生。 試驗啟用 SSO 的使用者識別碼的一般需求如下:

  • 內部部署 Active Directory 使用者帳戶應該使用聯盟功能變數名稱做為使用者主體名稱 (UPN) 尾碼。

  • 相關聯的 Microsoft Exchange Online 信箱的使用者識別碼和主要電子郵件地址不會共用相同的網域尾碼。

  • Azure Active Directory 同步處理工具必須將內部部署 Active Directory 使用者帳戶同步處理至雲端使用者識別碼。

  • 內部部署 Active Directory 使用者帳戶的 UPN 與雲端使用者識別碼必須相符。

在您假設啟用 SSO 的使用者識別碼試驗不佳是導致此問題的原因之前,請確定下列條件為 True:

  • 使用者沒有遇到常見的登錄問題。 若要進一步瞭解如何疑難排解常見的登錄問題,請參閱下列 Microsoft 知識庫文章:

    2412085 您無法登錄組織帳戶,例如 Office 365、Azure 或 Intune

  • 已正確準備支援 SSO 的聯盟網域,如下所示:

    • 聯邦網域可公開由 DNS 解說。 (:這不包含預設的「onmicrosoft.com」網域。)

    • 根據下列 Microsoft 網站,已針對 SSO 準備聯盟網域。

      注意 網域聯盟轉換可能需要一些時間才能傳播。 在將網域進行聯盟後,您應該等候兩小時,再假設網域組配置有錯誤。

解決 方案

若要解決此問題,請確定使用者帳戶已正確試驗為啟用 SSO 的使用者識別碼。 若要這麼做,請使用下列一或多個方法:

方法 1:如果使用者收到「很抱歉,但我們無法將您簽到」錯誤,請參閱知識庫文章 2615736

如果使用者收到「很抱歉,但我們無法將您簽到」錯誤訊息,請使用下列 Microsoft 知識庫文章來疑難排解問題:

當使用者嘗試登錄 Office 365、Azure 或 Intune 時,發生2615736「很抱歉,但我們無法將您登錄」錯誤

方法 2:更新內部部署使用者帳戶的 UPN,以使用聯盟網域做為尾碼

警告 變更 Active Directory 使用者帳戶的 UPN 對於使用者的內部部署 Active Directory 功能有重大的影響。 建議您謹慎處理 UPN 變更。

效果可能包括下列專案:

  • 使用緩存認證登入作業系統的漫遊使用者,以遠端存取內部部署資源

  • 使用使用者憑證的遠端存取驗證技術

  • 以使用者憑證為基礎的加密技術,例如安全 MIME (SMIME) 、資訊版權管理 (IRM) 技術,以及 NTFS 的加密檔案系統 (EFS) 功能

  • 智慧卡功能

我們強烈建議您試驗單一使用者帳戶,以深入瞭解更新 UPN 如何影響使用者存取。 這項資訊很實用,可提前規劃或減少憑證重新頒發、資料復原,以及使用這類技術維護資料協助工具所需的任何其他補救。

您必須更新使用者帳戶 UPN,以反映內部部署 Active Directory 環境和 Azure AD 中的聯合網域尾碼。 如果要執行這項操作,請依照下列步驟執行:

  1. 請確定已將聯盟網域新增為 UPN 尾碼:

    1. 在內部部署 Active Directory 網域控制站上,按一下 [開始,指向所有程式,按一下管理工具,然後按一下Active Directory 網域和信任

    2. 以滑鼠右鍵按一下Active Directory Domains和 Trusts 的根節點,選取 [屬性」,然後確認 SSO 使用的功能變數名稱存在。

    注意:不可路由的網域尾碼 ,例如 domain.internal 或 domain.microsoftonline.com 網域無法利用 SSO 功能或聯盟服務。 此步驟中不得使用不可路由的網域尾碼。

  2. 手動更新問題使用者帳戶的 UPN 尾碼:

    1. 在內部部署 Active Directory 網域控制站上,按一下 [開始,指向所有程式,按一下管理工具,然後按一下Active Directory 使用者和電腦

    2. 找出問題使用者帳戶,以滑鼠右鍵按一下帳戶,然後按一下 [ 屬性> 。

    3. 在 [ 帳戶」 選項卡上,使用左上角的下拉式清單,將 UPN 尾碼變更為自訂網域,然後按一下 [ 確定

方法 3:確認 Exchange Online 信箱 (SMTP) 使用者識別碼和主要簡易郵件傳輸通訊協定具有相同的網域

使用內部部署 Exchange 管理工具,將內部部署使用者的主要 SMTP 位址設定為方法 2 所述 UPN 屬性的相同網域。 若要詳細資訊,請前往下列 Microsoft TechNet 網站:

編輯電子郵件地址政策

設定使用者和資源信箱屬性如果 Exchange 未安裝在內部部署環境中,您可以使用 Active Directory 使用者和電腦來管理 SMTP 位址值。 如果要執行這項操作,請依照下列步驟執行:

  1. 在 Active Directory 使用者與電腦中,以滑鼠右鍵按一下使用者物件,然後按一下 [ 屬性> 。

  2. 在 [ 一般」 選項卡上,更新 [電子郵件 」 欄位,然後按一下 [確定

方法 4:設定使用者帳戶 UPN 的 Active Directory 同步處理

若要讓 SSO 正確工作,您必須設定 Active Directory 同步處理用戶端。 若要進一步瞭解如何設定 Active Directory 同步處理,請前往下列 Microsoft 網站:

Active Directory 同步處理:藍圖若要進一步瞭解如何強制及驗證同步處理,請前往下列 Microsoft 網站:

方法 5:針對特定使用者帳戶的 UPN 更新問題進行疑難排解

如果同步處理可以驗證,但試驗使用者識別碼的 UPN 仍未更新,則特定使用者可能會發生同步處理問題。

若要進一步瞭解如何針對同步處理特定 Active Directory 物件的潛在問題進行疑難排解,請參閱下列 Microsoft 知識庫文章:

2643629 使用 Azure Active Directory 同步處理工具時,一或多個物件無法同步處理


是否仍需要協助? 請前往 Microsoft 社群 或 Azure Active Directory 論壇 網站。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×